近日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法》,《办法》第十四条提到:
“运营者应当加强铁路关键信息基础设施供应链安全保护,优先采购安全可信的网络产品和服务。运营者采购网络产品和服务,应当预判该产品和服务投入使用后对国家安全的影响。可能影响国家安全的,应当按照国家有关规定申报网络安全审查。”
强调了铁路关键信息基础设施供应链安全保护的重要性,也为相关单位提出了明确的安全要求。
基于上述《办法》条例,本文将对铁路软件供应链安全现状进行逐一分析,并提出相关治理思路,希望通过本文给相关单位软件供应链安全管理实践落地一些借鉴思路~
01/ 铁路软件供应链安全现状
1)软件供应链构成复杂,不确定风险因素多
随着铁路信息系统的深入建设,无论是基础设施、终端外设,还是开发运维服务,背后已逐渐形成强大的软件供应链体系。铁路信息系统架构复杂性日益增加,软件开源化趋势增强,导致软件供应链变得更加复杂,不确定性风险因素增多,软件开发、交付、使用等各个环节均存在被攻击者攻击的可能。
2)软件安全管理能力未能匹配信息化进程
铁路信息化建设起步较早,早期系统建设多为“同步建设、同步使用”,软件安全防护能力未能匹配上信息化发展进程。软件供应链安全管理能力的提升速度,也跟不上软件供应链复杂化与网络攻击演变的速度。
3)软件来源复杂,供应商管理难度大
铁路信息系统建设规模大,系统开发中大量使用外部代码,例如开源代码、委托开发的代码等,使得参与系统建设的第三方服务提供商、供应商等供需关系网日趋复杂,层层转包现象频出。
由于软件的开源开放、多层供应关系、软件资产的不透明等因素,软件供应链可能发生产品安全质量下降、供应中断等安全风险,使运营者对供应链的安全管控难度加大。
02/ 铁路软件供应链安全治理思路
1)探索完善的软件供应链安全管理体系
通过差距分析、软件供应链安全(SSCS)治理,建立软件供应链安全管理体系,从制度、流程、能力、平台等方面形成合力,对软件供应链组织管理、供应商管理和供应活动管理提出安全要求,提升铁路关基单位对软件供应链安全的管控能力。
开源网安提供专业的 软件供应链安全咨询,协助企业进行软件供应链安全治理思路探索与方案建设。帮助企业在供应链安全现状调研、风险评估和差距分析的基础上,制定软件供应链安全风险识别与处置策略、软件资产管理策略,融入现有网络与信息安全管控体系当中。强化软件安全管理顶层设计,提升整体统筹能力。
2)全方位识别软件供应链安全与合规隐患
正如俗话所言“病从口入”,软件供应链安全“病”也需从“关口”抓起,通过建立安全卡口,把控软件供应链各环节软件安全性与合规性。
因此,相关单位可与开源网安联合建立 软件供应链安全检测中心,在开发/采购、交付/上线、运维/使用等各环节,建立安全与合规审查卡口,通过软件供应链安全与合规风险识别技术,包括但不限于软件上线前安全检测、开源软件资产识别、漏洞级别及其可利用性检测、知识产权审查、合规审查、持续运营风险评估等,全方位识别软件供应链中潜在的技术风险、供应风险、合规风险等。
3)常态化软件供应链风险安全管理
建立软件供应链安全态势感知平台,实现软件资产持续监测,发现问题时能快速定位,充分响应。持续增强软件供应链安全威胁发现、研判和预警能力,提升软件供应链安全事件监控和处理能力。
软件供应链安全检测与管理平台(简称SSCSP)是深圳开源网安自主研发的一款综合性安全产品。为企业提供软件供应活动(采购-交付-运维)全面的安全检测与软件资产管理服务,构建软件资产库与常态化安全风险预警机制,提升软件供应链安全风险的识别和应急能力。
03/ 结语
随着互联网产业经济的日趋成熟,关键信息基础设施已成为经济社会运行的神经中枢,是支持国家发展的重要资产。铁路关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。
近年来,国际上针对关键信息基础设施的网络攻击事件更是屡见不鲜。因此,提升铁路软件供应链安全管理能力,打造“安全韧性”的软件供应链体系,对于保障铁路企业信息系统长期安全稳定运行,推动铁路信息化高质量发展而言,非常重要。
*参考文章:
铁路信息系统供应链安全风险管理刍议_朱丽璇
铁路网络安全面临的严峻形势和主要对策研究_刘大为